En septembre dernier, la commissaire européenne à la concurrence, Neelie Kroes, a annoncé un déménagement massif des données et services gouvernementaux vers l’ « informatique dématérialisée ». Le secteur public, ayant l’objectif d’augmenter la rapidité et la qualité de son service, « pourra créer 2.5 millions d’emplois et générer 160 milliards d’euros par an d’ici 2012 ». Avec des promesses d’efficacité économique et de simplicité d’utilisation, de plus en plus de services déménagent vers ce qu’on appelle le « cloud computing ». Une récente étude d’IBM démontre que d’ici 5 ans, plus de 60% des compagnies vont dorénavant utiliser le cloud afin d’acquérir un avantage plus compétitif.
Le « cloud computing » est une manière de traiter et de stocker des données sur des serveurs internet centralisés, souvent appelés des « fermes » de serveurs. Ces mégas-centres requièrent une protection sécuritaire ultime : surveillance 24h, périmètre ultra-sécurisé, balayage oculaire biométrique et méga génératrices en cas de pannes. Les avantages de ce type de service sont des plus nombreux selon Jay heiser : un service plus facile à obtenir, supposément ultra fiable, livré facilement et à moindre coût.
Jusqu’à ce que quelque chose tourne mal, bien sûr : aucune sécurité ne peut être prouvée infaillible.
Ce mouvement massif vers l’informatique dématérialisée est en effet la source d’une grande incertitude pour 59% des pros des technologies de l’information, en raison des craintes liées à la cybersécurité du système. Comment protéger les consommateurs des entreprises qui fournissent un tel service lorsqu’on rapporte que 95% des utilisateurs du Web 2.0 ne savent même pas qu’ils l’utilisent ?
Les catastrophes virtuelles liées à ce type de services ne sont pas peu nombreuses. Pensez aux 100 millions de clients du géant en électronique Sony lorsque le PlayStation Network s’est effondré. Des tonnes d’informations confidentielles ont été compromises. Et Amazon a subi un véritableécroulement virtuel lorsque des sites comme Foursquare et Reddit ont été déconnectés pendant plusieurs jours.
Selon une étude récente réalisée par Verizon, la problématique réside dans la notion de cybersécurité et non dans l’utilisation comme telle du service.
D’ailleurs, la Conférence sur la vie privée de 2012 a une opinion peu rassurante sur la question. Les acteurs de cette conférence soutiennent que l’utilisation du cloud peut amplifier les risques inhérents au traitement des données pour trois raisons majeures : « These issues may magnify certain risks inherent in data processing, such as breaches of information security, violation of laws and principles for privacy and data protection, and misuse of data stored in the cloud. »
Le Internation Working Group on Data Protection in Telecommunications en vient aux mêmes conclusions.
Ce groupe critique d’autant plus le manque de transparence dans le processus et les pratiques reliées à l’élaboration de ces types de contrats. Ce manque de transparence rend difficile l’évaluation des risques associés à l’hébergement de nos données en ligne et, parallèlement, l’élaboration des règles permettant de régir la protection de nos données. Et la responsabilité des contractants se complexifie vu le nombre de sous-contractants souvent impliqués dans le contrat.
Quand Flickr, Gmail, Hotmail et Facebook déplacent sur des serveurs lointains nos possessions virtuelles, le consommateur leur donne un contrôle réel et accru sur ce qui lui appartient. Dans cette hypothèse où le fournisseur de service est toujours favorisé, comment le consommateur pourrait-il être réellement protégé ? Bref, comment savoir quelle loi est applicable quand vos données sont stockées outre-mer ? Qui est responsable de quoi ? Quelle loi vous protège ? À supposer que le consommateur doit se protéger lui-même, la notion de cybersécurité doit s’étendre bien plus loin que le simple fait de ne pas divulguer sa date de naissance, son vrai nom ou sa vraie adresse.
Commentaires